Защита интеграционной платформы
Доберштейн А., Оразгелдиев Я., Лобанова П., Лушин А., Барабанова К.
Российский университет дружбы народов, Москва, Россия
Основной целью работы является получение навыков обнаружения и устранение уязвимостей Bitrix vote RCE, GitLab RCE, WSO2 API-Manager RCE и их последствий.
Для начала изучили вектор атаки, адреса злоумышленника и атакуемых серверов.
Залогинились в ViPNet для обнаружения уязвимости в журнале событий.
В “Событиях” обнаружили события: внедрение полезной нагрузки в HTTP-запрос, PHP-скрипт с кодом для удаленного выполнения команд, информирование о скачивании исполняемого файла с машины нарушителя.
Изучили информацию по CVE-коду об обнаруженной уязвимости, изучили рекомендации по нейтрализации.
Для устранения уязвимости подключились к удаленному рабочему столу.
Вошли под указанной учетной записью.
В соответствии с вектором атаки в KeePass нашли CMS Bitrix.
В лог-файле apache2 по пути /var/log/apache2/access.log обнаружили следующую информацию: два запроса к файлу /bitrix/tools/vote/uf.php с внедрением полезной нагрузки для последующей загрузки веб-backdoor и запрос к файлу веб-backdoor для создания WebShell сессии с машиной нарушителя.
Произвели поиск по названию полезной нагрузки с помощью команды find /var/www/html/ -iname «payload2.phar», нашли данный файл.
Просмотрели содержимое с помощью текстового редактора, отобразилась информация о скачивании веб-backdoor по пути /var/www/html/caidao.php.
Открыли сайт Bitrix. Не удалось получить доступ к интерфейсу администрирования из-за действующей полузной нагрузки.
Для устранения вектора для локального повышения привелегий (LPE) удалили SUID-бит у файла /var/www/html/apache_restart с помощью команды chmod –s /var/www/html/apache_restart.
Для закрытия уязвимости добавиkb изменения в файл /var/www/html/bitrix/tools/vote/uf.php, перед require_once и между знаков вопроса вставили код:
Создали файл .htaccess в директории /var/www/html/bitrix/tools/vote, задающий правила работы веб-сервера для конкретного каталога и подкаталогов. Для закрытия уязвимости в данном файле можно прописали команду deny from all.
С помощью утилиты ss и команды kill закрыли meterpreter сессии.
В директории веб-сервера обнаружили скрипт password_recovery.php.
Прописали новый пароль.
Подключились к веб-серверу, в ссылке указали название данного файла.
Авторизовались с правами администратора
Открылась панель администрирования.
Удалили файл password_recovery.php.
Доступ к панели администрирования восстановлен. Удалили все файлы в директории взломанного веб-сервера.
Файл резервной копии разархивировали в директорию /var/www/html с помощью команды tar xvzf /var/bitrix_backups/Bitrix_full_backup.tar.gz -C /var/www/html.
Далее повторили действия по устранению полезной нагрузки: Для устранения вектора для локального повышения привелегий (LPE) удалили SUID-бит у файла /var/www/html/apache_restart с помощью команды chmod –s /var/www/html/apache_restart.
Для закрытия уязвимости добавиkb изменения в файл /var/www/html/bitrix/tools/vote/uf.php, перед require_once и между знаков вопроса вставили код:
Создали файл .htaccess в директории /var/www/html/bitrix/tools/vote, задающий правила работы веб-сервера для конкретного каталога и подкаталогов. Для закрытия уязвимости в данном файле можно прописали команду deny from all
Удалили файл /var/www/html/apache_restart.
Уязвимость с ее последствием успешно устранены
Вернулись в ViPNet для обнаружения подозрительной активности в журнале событий. Изучили информацию об обнаруженной уязвимости.
В соответствии с вектором атаки в KeePass нашли GitLab.
Подключились к удаленному рабочему столу по адресу в соответствии с вектором атаки. Открыли веб-интерфейс GitLab и авторизовались под учетной записью администратора.
Перешли на страницу Admin Area.
В левой панели инструментов перешли во вкладку Settings – General.
в настройках нашли пункт Sign-up restrictions и нажали кнопку Expand.
Настроили конфигурацию, разрешающую регистрацию новых аккаунтов только с одобрения адмнистратора.
Сохранили конфигурацию.
В панели администратора перешли во вкладку Users
В строке с пользователем Script Kiddie нажали Delete user and contributions.
Подтвердили удаление.
С помощью утилиты ss и команды kill закрыли meterpreter сессии.
Уязвимость с ее последствием успешно устранены
Вернулись в ViPNet для обнаружения подозрительной активности в журнале событий.
Изучили информацию об обнаруженной уязвимости.
В соответствии с вектором атаки в KeePass нашли API-Manager.
Открыли файл конфигурации WSO2 API-Manager и добавили в конец запись resource.access_control.
Удалили загруженный exploit.jsp файл по пути /opt/wso2am-4.0.0/repository/deployment/server/webapps/authentic ationendpoint.
Удалили сгенерированный файл /tmpp/payload.elf.
С помощью утилиты ss и команды kill закрыли meterpreter сессии.
Зашли в веб-интерфейс WSO2 API-Manager по ссылке https://10.10.2.27:9443/carbon и авторизовались под учетной записью администратора.
Просмотрели список пользователей.
Удалили пользователя hacker.
Уязвимость с ее последствием успешно устранены.
В результате выполнения лабораторной работы мы получили навыки обнаружения и устранение уязвимостей Bitrix vote RCE, GitLab RCE, WSO2 API-Manager RCE и их последствий.